湖北省教育信息化发展中心（湖北省电化教育馆）测试评估认证服务协议定点结果公告

中标

金额

14.8万元

项目地址

湖北省

发布时间

2022/11/16

公告摘要

项目编号420000-2022-16364

预算金额16万元

招标公司湖北省教育信息化发展中心（湖北省电化教育馆）

招标联系人张荻

中标公司湖北东方网盾信息安全技术有限公司14.8万元

中标联系人-

公告正文

湖北省教育信息化发展中心（湖北省电化教育馆）测试评估认证服务协议定点结果公告

政府采购计划备案号：420000-2022-16364

订单号：FWJJ4200002200976889

采购总预算金额：￥160,000.00

本次成交金额：￥148,000.00

采购单位：湖北省教育信息化发展中心（湖北省电化教育馆）

联系人：张荻

联系电话：027-87710821

成交供应商：湖北东方网盾信息安全技术有限公司

成交日期：2022年11月16日

执行方式：竞价

成交内容：

采购方式：竞价

采购品目：信息技术服务

采购需求：依据《信息安全技术信息系统密码应用基本要求》（GB/T 39786-2021）、政务信息系统密码应用与安全性评估工作指南（2020 版）、CNAS-CI01《检验机构认可准则》等相关技术标准要求，参照信息技术服务管理体系或CNAS检验检测等信息技术服务体系，等国家相关规定对湖北省高中课程改革网（湖北省高中课改教育用户认证中心）和湖北省中等职业学校毕业证书管理与查询系统开展密码应用评估服务。

需求附件：需求.doc需求.doc

服务响应说明：我公司完全响应文件需求

2.2供应商应具有独立法人资格，并提供《营业执照》和《税务登记证》，营业执照处于有效期，企业财务状况良好；2.1供应商应具备《中华人民共和国政府采购法》第二十二条第一款规定的条件；2、供应商资格要求：1、采购内容：湖北省教育信息化发展中心商用密码应用安全性（二级）评估项目。密码测评服务采购需求湖北省教育信息化发展中心商用密码应用安全性（二级）评估项目

3.2服务范围：3.1工期要求：服务周期自合同双方约定之日（即服务起始日，由双方签字确认生效）起至项目测试验收合格。3、供应商服务要求：2.5本项目不接受联合体。2.4供应商项目负责人须具备相应资格；2.3供应商必须具有商用密码测评机构证明；

5、现场踏勘时间：不组织踏勘。4、需求文件获得方式：在湖北省政府采购网上商城自行下载。商用密码安全性评估测评范围被测信息系统开展商用密码应用安全性评估（项目执行期间，如国家技术标准发生变化，按照新生效的技术标准执行），为采购方开展密码应用方案设计提供技术咨询，评估内容如下：商用密码应用安全性评估对象系统为：湖北省高中课程改革网（湖北省高中课改教育用户认证中心）、湖北省中等职业学校毕业证书管理与查询系统。

序号	商用密码应用安全性评估
1	密码应用方案评估	密码应用解决方案评估	中标方应对密码应用解决方案的完整性和密码应用设计的合规性、正确性和有效性进行评估。
2	密码应用方案评估	实施方案评估	中标方应检查文档结构是否完整，并审查实施方案是否按照《密码应用解决方案》的设计要求进行编制。
3	密码应用方案评估	应急方案评估	中标方应检查文档结构是否完整，并审查应急方案提出的风险应急预案是否完备、合理、周密。
4	总体要求	密码算法	中标方应验证被测信息系统中使用的密码算法是否当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。
5	总体要求	密码技术	中标方应验证被测信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。
6	总体要求	密码产品	中标方应验证被测信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。
7	总体要求	密码服务	中标方应验证被测信息系统中使用的密码服务是否通过国家密码管理部门许可。
8	物理和环境安全	身份鉴别	中标方应验证被测信息系统在电子门禁系统中是否使用密码技术的真实性服务来保护身份鉴别信息，保证重要区域进入人员身份的真实性。
9	物理和环境安全	电子门禁记录数据完整性	中标方应验证被测信息系统是否使用密码技术的完整性服务来保证电子门禁系统进出记录的完整性。
11	网络和通信安全	身份鉴别	中标方应验证被测信息系统是否在通信前基于密码技术对通信实体进行验证或认证，使用密码技术的机密性和真实性服务来实现防截获、防假冒和防重用，保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性。
12	网络和通信安全	访问控制信息完整性	中标方应验证被测信息系统是否使用密码技术的完整性服务来保证网络边界和系统资源访问控制信息的完整性。
13	网络和通信安全	通信数据完整性	中标方应验证被测信息系统是否采用密码技术保证通信过程中数据的完整性。
14	网络和通信安全	通信数据机密性	中标方应验证被测信息系统是否采用密码技术保证通信过程中敏感信息数据字段或整个报文的机密性。
15	设备和计算安全	身份鉴别	中标方应验证被测信息系统是否使用密码技术对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。
16	设备和计算安全	系统资源访问控制信息完整性	中标方应验证被测信息系统是否使用密码技术的完整性服务来保证系统资源访问控制信息的完整性。
17	设备和计算安全	日志记录完整性	中标方应验证被测信息系统是否使用密码技术的完整性功能来对日志记录进行完整性保护。
18	应用和数据安全	身份鉴别	中标方应验证被测信息系统是否使用密码技术对登录的用户进行身份标识和鉴别，实现身份鉴别信息的防截获、防假冒和防重用，保证应用系统用户身份的真实性。
19	应用和数据安全	访问控制信息完整性	中标方应验证被测信息系统是否使用密码技术的完整性服务来保证业务应用系统访问控制策略、数据库表访问控制信息的完整性。
20	应用和数据安全	数据传输机密性	中标方应验证被测信息系统是否采用密码技术保证重要数据在传输过程中的机密性，包括但不限于鉴别数据、重要业务数据和重要用户信息等。
21	应用和数据安全	数据存储机密性	中标方应验证被测信息系统是否采用密码技术保证重要数据在存储过程中的机密性，包括但不限于鉴别数据、重要业务数据和重要用户信息等。
22	应用和数据安全	数据传输完整性	中标方应验证被测信息系统是否采用密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息等。
23	应用和数据安全	数据存储完整性	中标方应验证被测信息系统是否采用密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息、重要可执行程序等。
24	管理制度	具备密码应用安全管理制度	中标方应验证责任单位是否具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度;
25	管理制度	密钥管理规则	中标方应验证责任单位是否根据密码应用方案建立相应密钥管理规则;
26	管理制度	建立操作流程	中标方应验证责任单位是否对管理人员或操作人员执行的日常管理操作建立操作规程
27	管理制度	定期修订安全管理制度	中标方应验证责任单位系统负责人是否定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足或需要改进之处进行修订;
28	管理制度	明确管理制度发布流程	中标方应验证责任单位系统负责人是否明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制;
29	管理制度	制度执行过程记录留存	中标方应验证责任单位是否具有密码应用操作规程的相关执行记录并妥善保存。
30	人员管理	了解并遵守密码相关法律法规和密码管理制度	中标方应验证责任单位相关人员是否了解并遵守密码相关法律法规、密码应用安全管理制度;
31	人员管理	建立密码应用岗位责任制度	中标方应验证责任单位是否建立密码应用岗位责任制度，明确各岗位在安全系统中的职责和权限:
32	人员管理	建立上岗人员培训制度	中标方应验证责任单位是否建立关键岗位人员保密制度和调离制度，签订保密合同，承担保密义务。
33	人员管理	定期进行安全岗位人员考核	中标方应验证责任单位是否定期对密码应用安全岗位人员进行考核;
34	人员管理	建立关键岗位人员保密制度和调离制度	中标方应验证责任单位是否建立关键人员保密制度和调离制度.签订保密合同,承担保密义务。
35	建设运行	制定密码应用方案	中标方应验证责任单位是否依据密码相关标准和密码应用需求,制定密码应用方案;
36	建设运行	制定密钥安全管理策略	中标方应验证责任单位是否根据密码应用方案.确定系统涉及的密钥种类、体系及其生存周期环节；
37	建设运行	制定实施方案	中标方应验证建设单位是否按照应用方案实施建设;
38	建设运行	投入运行前进行密码应用安全性评估	中标方应验证被测系统投人运行前是否进行密码应用安全性评估;
39	建设运行	定期开展密码应用安全性评估及攻防对抗演习	中标方应验证被测系统运行过程中,是否严格执行既定的密码应用安全管理制度,是否定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。
40	应急处置	应急策略	中标方应验证责任单位是否制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,是否立即启动应急处置揩施.结合实际情况及时处置;
41	应急处置	事件处置	中标方应验证责任单位在密码应用安全事件发生后,是否及时向信息系统主管部门及归属的密码管理部门进行报告;
42	应急处置	向有关主管部门上报处置情况	中标方应验证责任单位在密码应用安全事件处置完成后,是否及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况。

（5）服务地点：采购人指定地点。（4）供应商内部变更：如成交供应商发生兼并、重组，由新组建的公司按询价文件承担相应售后服务。（3）保密管理要求：实施前应做好保密教育，和采购方签署保密协议，实施中不得复制、删除系统信息和数据，实施完成后未经采购方许可不得在系统中驻留任何程序。（2）最小影响要求：供应商实施过程中必须保证系统的正常运行，对系统的正常运行不产生明显影响。在进行有风险的操作前必须明确进行风险提示，并指导用户做好应急措施。（1）人员要求：参与本项目的项目经理须具有商用密码安全性评估人员需具备商用密码应用安全性评估人员测评能力验证资格或信息系统项目管理师（高级）或网络规划设计师资质，实施商用密码安全性评估人员需具备商用密码应用安全性评估人员测评能力验证资格或程序员资质。服务人员不少于4人，在本项目实施阶段未经采购单位同意不得变更。6、技术和服务要求